Android端末をターゲットにGoogle AdSenseの広告経由でマルウェアを自動でダウンロードさせる手口が横行
By Jonathan Chen
Googleが提供している広告配信プラットフォームである「Google AdSense」経由でマルウェアをばらまき、銀行詐欺を行うという驚くべき手法の存在が明らかになりました。
Google stops AdSense attack that forced banking trojan on Android phones | Ars Technica
http://arstechnica.com/security/2016/11/google-stops-adsense-attack-that-forced-banking-trojan-on-android-phones/
悪意のあるGoogle AdSense広告とゼロデイアタックの組合わせを利用し、AndroidのChromeブラウザ経由で端末に感染して最終的には銀行詐欺を働くというマルウェアの存在が明らかになりました。このマルウェアのファイル名は「Banker.AndroidOS.Svpeng」で、2ヵ月以上の期間にわたってGoogle AdSenseの広告経由でインターネット上でばらまかれています。この悪意のある広告はAndroidの脆弱性を突き、自動でマルウェアファイルを端末にダウンロードさせるというものだったそうです。
セキュリティ関連ソフトウェアを開発するカスペルスキーによると、「31万8000台のAndroid端末がこのマルウェアに感染している」とのことです。ただし、マルウェアファイルは自動で端末にインストールされるわけではありません。マルウェアファイルはAPKファイルとしてダウンロードされるのですが、ユーザーが手動でインストールしてしまうように最新のブラウザアップデートなどに偽装しているわけです。
すでにカスペルスキーはこのマルウェアについてGoogleに報告済みで、Googleも対策を済ませているためにGoogle AdSense経由で悪意のある広告が配信されることはなくなっています。カスペルスキーの研究者であるニキータ・バックラ氏とアントン・キーヴァ氏は、「これまでのところ、マルウェアを用いた詐欺はロシアのスマートフォンユーザーしかターゲットにしていません。しかし、AdSense経由で行う攻撃を他の国々に広げる可能性もありますし、実際、そういった事例を過去に見たことがあります。何千何万というモバイル端末に悪意のあるマルウェアをダウンロードさせようと思った時、最も有名な広告配信プラットフォームを利用する以外により効果的な方法はありません」とGoogle AdSense経由でマルウェアをばらまく手法の影響力を指摘しています。
なお、GoogleのスポークスマンはChromeのバージョン54でファイルを自動ダウンロードしてしまう脆弱性を修正したことを明らかにしています。さらにスポークスマンは、Androidのセキュリティ機能により、悪意のあるアプリをインストールしようとした場合にはOSが警告を表示するとも主張。ただし、なぜ悪意のある広告がGoogle AdSenseのセキュリティチェックを通過したのかについてはなんの説明もありませんでした。
2016年11月の第1週にも似たような手口でマルウェアがばらまかれていたことが明らかになっています。これを見つけたのはセキュリティ企業のCylanceで、Google AdWords経由でmacOSを狙うマルウェア広告が公開されていたとのこと。カスペルスキーの研究者によると、Googleがこれらの広告の配信を停止するのはとても迅速だったそうですが、「これは先を見越したアプローチではなく反応的なアプローチなので、悪意のある広告はブロックされたものの、既に何千という端末の中にマルウェアが忍び込んでしまっている」とコメントしています。
なお、こういったマルウェアに感染しないようにするには、Google公式のアプリストアであるGoogle Playで配信されているアプリ以外をインストールしないこと、とカスペルスキーは注意を促しています。また、アプリのインストールを推奨してくるウェブページに対して「より懐疑的になること」もマルウェアの感染を防ぐことにつながるとしています。
・関連記事
14億台ものAndroid端末に通信が傍受される脆弱性が存在することが明らかに - GIGAZINE
9億台以上のAndroid端末にデバイスを乗っ取られる脆弱性があることが判明、脆弱性の有無の調べ方はコレ - GIGAZINE
8500万台のAndroid端末に感染して月3000万円を荒稼ぎする中国製マルウェア「HummingBad」 - GIGAZINE
スマホ内の全データを削除・破壊する凶悪なマルウェア「Mazar」が感染拡大中 - GIGAZINE
モバイル端末のOSのふりをして広告を強制表示するマルウェア「Kemoge」が20カ国以上に拡散中 - GIGAZINE
・関連コンテンツ